您现在的位置是:首页 > IT基础架构 > 网络与安全 >
误区:IPv6的加密标准被视为加密的万能药
摘要IPv6不是解决网络安全问题的万能药 由于仅剩下10%的IPv4预留地址,所以迁移到IPv6是指日可待了,只不过大多数人都还没有明白这一新协议的真实含义。相当一部分人只是简单将其看做IP安全的救世主,而对于它的缺陷却不闻不问。 ...
由于仅剩下10%的IPv4预留地址,所以迁移到IPv6是指日可待了,只不过大多数人都还没有明白这一新协议的真实含义。相当一部分人只是简单将其看做IP安全的救世主,而对于它的缺陷却不闻不问。
虽然IPv6提供了诸如加密等改进功能,但是它的设计目的并不是要更改IP层的安全状况。传统观念想当然地认为只要加密了的东西就是安全的,可是考虑到加密技术的发展和复杂性,这种观念在如今的互联网社会已经不适用了。例如,在最近一次Black Hat会议上,黑客Moxie Marlinspike揭秘了SSL加密技术的缺陷,他利用这些缺陷实现了无效终端认证对数据的拦截。
遗憾的是,IPsec,作为IPv6的加密标准,被视为加密的万能药。这里应提醒大家注意:
IPv6中强制要求对的IPsec支持;而是否使用则具有可选性。
受到规模,互操作性和传输等问题的限制,当前IPv4空间中极度缺乏IPsec流量。这一问题会遗留到IPv6空间里,而IPsec的采用将会很少。
IPsec支持多加密法则的特性极大地增强了部署的复杂性,而这一事实常常被忽略。
许多企业认为如果不部署IPv6,就可以避免其漏洞带来的安全隐患。这种观点也是普遍存在的误解。IPv6流量在网络中的几率越来越多。大多数新的操作系统都会默认启用IPv6。
以IPv4为基础的安全设备和网络监控工具既不能检测也不能阻止IPv6数据。通过代理将IPv6数据链接到IPv4网络是一项很重要的性能。但是,这一性能也让黑客有机会把IPv6链路放在不理解IPv6的网络上,然后再随意携带恶意代码。由此,我们不得不问,为什么有如此多的用户通过未知的,不受信任的IPv6代理来传输数据?
不要用IPv6通道来输送敏感信息,即便是一些医疗保健或是政府部门的相关链接,也要尽量避免。在客户端启用通道特性后,就会将我们的网络暴露给开放的,未验证,未加密,未注册的远程IPv6网关。用户尝试该性能并由此遭遇恶意网关的几率令人担忧。
IPv6的高级网络发现功能可以网管们选择输送数据包的路径。理论上,这一功能是一大改进,但是,从安全角度考虑的话却成了隐患。如果本地IPv6网络受到损坏,黑客利用这一功能就可以不费吹灰之力地追踪远程网络。
那么要多久供应商们才能够帮助我们解决这些安全问题呢?答案是,很快。和大多数行业一样,供应商们还处在技术跟进中。由于现在没有任何机构强制要求转移到IPv6,所以这些供应商是按照业内的发展速度在进行互操作性的开发。
由此便产生了一个问题:IPv6的延迟部署会给黑客们可乘之机吗?肯定会! 随着我们逐步转移到IPv6,应用与设备中互操作性的缺失会暴露出漏洞。这将带来混乱的补丁发布和更新周期,而应用程序对攻击的防御也会变得很被动。
不论我们掌握了多少与IPv4相关的专业知识,都应该用极高的警惕性来对待IPv6部署。IPv6不仅仅是扩充IP地址库而已。对于技术人员的培训要从头开始,这项工作可不是如同为Windows应用打上补丁一样容易。许多基础网络准则,如路由,DNS,QoS,多点播放和IP选址等,都需要重新了解。在IPv6中,由于互联网不断适应新的IP结构,我们对垃圾邮件控制和DOS保护等安全功能的依赖程度将大为减轻。
实际上,我们的网络安全情况在向IPv6的过渡中应该是最先要考虑的因素。企业主在把IPv6当成安全法宝之前要考虑到所有可能的安全挑战。
(责编:小好)
(本文不涉密)
责任编辑:
下一篇:CIO治理开心农场的有效办法